Pentesting (un acrónimo de Penetration Testing) es la actividad mediante la cual se busca comprometer un sistema informático realizando un ataque hacia el mismo. Es decir, en un penetration test, las técnicas y procedimientos que se utilizan son las mismas que utilizan los hackers maliciosos. Lo que diferencia al pentester de un “atacante” o intruso, es la finalidad que persiguen al entrar al sistema. Mientras que el atacante busca demostrar sus conocimientos u obtener algún beneficio económico por robar información, espiar o “romper” , el pentester por su parte busca demostrar las vulnerabilidades del sistema para tratar de mitigarlas y así prevenir futuros ataques. El pentester tiene la responsabilidad de reportar todas las fallas o agujeros que posea el sistema que puedan representar un peligro para la organización, empresa o para quien trabaje. Los pentesters son denominados “Ethical Hackers” dado el compromiso moral que tienen con la entidad que los contrata.
Existen 3 formas de trabajo, el pentester las acuerda con la organización en su contrato. Ellas son:
- White box: La entidad contratante le entrega información al pentester, usuarios, e-mails, software utilizado, etc. Con esto el pentester ya tiene una gran cantidad de información para comenzar a trabajar.
- Black box: El pentester debe trabajar “a ciegas”, como si fuera un atacante, sin información obtenida de antemano. El pentester debe comenzar a investigar y recopilar toda la información posible para realizar el ataque. Obviamente este tipo de penetration test tiene un costo más elevado, dado el tiempo que insume.
- Grey box: Es una combinación de White y Black box ya que el pentester obtiene información de forma parcial de la organización. Por ejemplo esto puede puede ser, planos de arquitectura de red e información sobre aplicaciones utilizadas. Un Penetration Test de tipo Grey Box simula lo que podría ser un ataque desde el interior de la organización dado el conocimiento parcial del sistema.